Squid代理服务器的访问控制策略设计与实现

　　Squid代理服务器的访问控制策略设计

　　访问控制是squid配置中的重点，squid访问控制有两个要素：ACL 元素和访问控制列表。通过以下方法，系统管理员可以严格、清晰地定义代理服务器的访问控制策略。
　　ACL的基本格式：ACL列表名称，控制方式，控制目标。

　　（1）禁止192.168.1.1--192.168.1.60这个网段里的所有客户机上网，配置代码如下：

　　acl 1-room src 192.168.1.1-192.168.1.60/255.255.255.0

　　http_access deny 1-room

　　（2）禁止用户访问包含有sex关键字的URL，配置代码如下：

　　acl sex url_regex i sex

　　http_access deny sex

　　（3）禁止QQ通过squid上网，配置代码如下：

　　acl QQ url_regex i tencent.com

　　http_access deny QQ

　　（4）禁止用户下载*.mp3，*.exe，*.zip，*.rar文件，配置代码如下：

　　acl DL urlpath_regex i \.mp3$\.exe$\.zip$\.rar$

　　http_access deny DL

　　（5）禁止用户访问域名为www.sohu.com的网站，配置代码如下：

　　acl sohu t dstdomain i www.sohu.com

　　http_access deny sohu

　　（6）禁止192.168.2.0这个子网里所有客户机在周一至周五的9点到12点上网，配置代码如下：

　　acl test src 192.168.2.0/255.255.255.0

　　acl test2 time MTWHF 9：00-12：00

　　以上操作只能在squid.conf文件下编辑添加，如果部分规则需要更改，只能通过命令的方式进行。现在通过登陆webmin管理工具，也可以做到同样的配置，操作起来更方便。在浏览器输入：http://192.168.32.78:10000/，进入webmin管理界面，找到“Squid代理服务器”后单击，再单击“访问控制”，如图2所示。

图2 访问控制

　　例如要禁止192.168.1.1--192.168.1.60这个网段里的所有客户机上网，点击“Ethernet地址”下拉框，选“客户地址”，再点击“创建新的ACL”按钮。

　　在“创建在ACL”菜单中输入以下内容。“ACL名称”输入：1-room，“来自IP”输入：192.168.1.1，“到IP”输入：192.168.1.60，“网络掩码”输入：255.255.255.0。单击“保存”返回到“访问控制”界面，单击“代理约束”→“添加代理约束规则”，选中“1-room”，点击“保存”，1-room的访问控制就设置完成，再点击“应用更改”即刻生效。其他规则的添加大同小异。添加完ACL规则，最后的条目一定要是“all”，并且要设为“拒绝”，否则无法生效。如果最后的条目“all”设为“允许”，则所有的计算机都可以通过代理服务器上网、下载等操作。

　　访问控制策略的管理

　　（1）通过命令方式修改squid.conf的配置信息，运行/etc/init.d/squid reload，重新导入配置文件，再重启动squid即可生效，命令为：/etc/rc.d/init.d/squid restart。这不便于机房管理员的管理。

　　（2）通过webmin工具管理，设置“访问控制列表”，通过“代理约束”下的“允许”和“拒绝”选项来控制，最后再单击“应用更改”即刻生效。

　　通过webmin管理squid的访问控制策略，即使不是专业系统管理员，也很容易掌握，适合电子阅览室、学校机房或其他企事业单位使用。当然Squid代理服务器访问控制策略功能丰富，ACL类型和访问控制列表众多，以上所讲仅为一些基本用法，系统管理员在实际应用中可根据不同需求进行配置。

　　（作者单位为华南师范大学增城学院）